一:讲一下前后端交互用的什么协议,如何保证数据的传递安全性?数据的抓包了解吗?
- 前言
前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。
网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。
数据的安全性非常重要,特别是用户相关的信息,稍有不慎就会被不法分子盗用,所以我们对这块要非常重视,容不得马虎。
- 如何保证API调用时数据的安全性
1:通信使用https协议
2:请求签名,防止参数被篡改
3:身份确认机制,每次请求都要验证是否合法
4:App中使用ssl ping防止抓包操作
5:对所有请求和相应都进行加解密操作
- 对所有请求和响应都进行加解密操作
方案有很多种,当你做的越多,也就意味着安全性更高,今天我跟大家来介绍一下对所有请求和响应都进行加解密操作的方案,即使能抓包,即使能调用我的接口,但是我返回的数据是加密的,只要加密算法够安全,你得到了我的加密内容也对我没什么影响。
像这种工作最好做成统一处理的,你不能让每个开发都去关注这件事情,如果让每个开发去关注这件事情就很麻烦了,返回数据时还得手动调用下加密的方法,接收数据后还得调用下解密的方法。
为此,我基于Spring Boot封装了一个Starter, 内置了AES加密算法。GitHub地址如下:
https://github.com/yinjihuan/spring-boot-starter-encrypt
先来看看怎么使用,可以下载源码,然后引入即可,然后在启动类上增加@EnableEncrypt注解开启加解密操作:
@EnableEncrypt
@SpringBootApplication
public class App {
public static void main(String[] args) {
SpringApplication.run(App.class, args);
}
}
增加加密的key配置:
1:spring.encrypt.key:加密key,必须是16位
2:spring.encrypt.debug:是否开启调试模式,默认为false,如果为true则不启用加解密操作
了考虑通用性,不会对所有请求都执行加解密,基于注解来做控制
响应数据需要加密的话,就在Controller的方法上加@Encrypt注解即可。
@Encrypt
@GetMapping("/list")
public Response queryNews(String city) {
return Response.ok(city);
}
我们访问/list接口时,返回的数据就是加密之后base64编码的格式。
还有一种操作就是前段提交的数据,分为2种情况,一种是get请求,这种暂时没处理,后面再考虑,目前只处理的post请求,基于json格式提交的方式,也就是说后台需要用@RequestBody接收数据才行, 需要解密的操作我们加上@Decrypt注解即可。
@Decrypt
@PostMapping("/save")
public Response savePageLog(@RequestBody PageLogParam logParam, HttpServletRequest request) {
pageLogService.save(logParam);
return Response.ok();
}
加了@Decrypt注解后,前端提交的数据需要按照AES加密算法,进行加密,然后提交到后端,后端这边会自动解密,然后再映射到参数对象中。
上面讲解的都是后端的代码,前端使用的话我们以js来讲解,当然你也能用别的语言来做,如果是原生的安卓app也是用java代码来处理。
AES加密原理如下:
AES加密的过程主要分为字节替代,行移位,列混淆和轮密钥加。解密过程分别为对应的逆操作。由于每一步操作都是可逆的,按照相反的顺序进行解密即可恢复明文。加解密中每轮的密钥分别由初始密钥扩展得到。算法中16字节的明文、密文和轮密钥都以一个4x4的矩阵表示。
具体的详细介绍请参考博客:https://blog.csdn.net/simple_man_just/article/details/69258923
- 什么是ssl ping?
可以理解为证书绑定,是指客户端直接保存服务端的证书,建立https连接时直接对比服务端返回的和客户端保存的两个证书是否一样,一样就表明证书是真的,不再去系统的信任证书机构里寻找验证。这适用于非浏览器应用,因为浏览器跟很多未知服务端打交道,无法把每个服务端的证书都保存到本地,但CS架构的像手机APP事先已经知道要进行通信的服务端,可以直接在客户端保存这个服务端的证书用于校验。
为什么直接对比就能保证证书没问题?如果中间人从客户端取出证书,再伪装成服务端跟其他客户端通信,它发送给客户端的这个证书不就能通过验证吗?确实可以通过验证,但后续的流程走不下去,因为下一步客户端会用证书里的公钥加密,中间人没有这个证书的私钥就解不出内容,也就截获不到数据,这个证书的私钥只有真正的服务端有,中间人伪造证书主要伪造的是公钥。
为什么要用SSL Pinning?正常的验证方式不够吗?如果服务端的证书是从受信任的的CA机构颁发的,验证是没问题的,但CA机构颁发证书比较昂贵,小企业或个人用户可能会选择自己颁发证书,这样就无法通过系统受信任的CA机构列表验证这个证书的真伪了,所以需要SSL Pinning这样的方式去验证。
二:Controller层是单例还是多例的,如何保证controller层的线程安全?
spring bean的作用域有以下5个:
singleton:单例模式,当spring创建applicationContext容器的时候,spring会欲初始化所有的该作用域实例,加上lazy-init就可以避免预处理;
prototype:原型模式,每次通过getBean获取该bean就会新产生一个实例,创建后spring将不再对其管理;
====下面是在web项目下才用到的===
request:搞web的大家都应该明白request的域了吧,就是每次请求都新产生一个实例,和prototype不同就是创建后,接下来的管理,spring依然在监听
session:每次会话,同上
global session:全局的web域,类似于servlet中的application
好了,上面都说了spring的controller默认是单例,那很自然就是singleton了。
再看一个例子,看看单例会不会有我说的那种问题(就是类中定义的非静态变量线程安全问题),当然下面这个例子我是实验过的, 要不然也不敢发出来
为什么spring要默认是单例呢?原因有二:
1、为了性能。
2、不需要多例。
1、这个不用废话了,单例不用每次都new,当然快了。
2、不需要实例会让很多人迷惑,因为spring mvc官方也没明确说不可以多例。
我这里说不需要的原因是看开发者怎么用了,如果你给controller中定义很多的属性,那么单例肯定会出现竞争访问了。
因此,只要controller中不定义属性,那么单例完全是安全的。下面给个例子说明下:
package com.lavasoft.demo.web.controller.lsh.ch5;
import org.springframework.context.annotation.Scope;
import org.springframework.stereotype.Controller;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.RequestMapping;
/**
* Created by Administrator on 14-4-9.
*
* @author leizhimin 14-4-9 上午10:55
*/
@Controller
@RequestMapping("/demo/lsh/ch5")
public class MultViewController {
privateintindex = 0; //非静态
@RequestMapping("/show")
publicStringtoShow(ModelMap model) {
System.out.println(++i);
return"/lsh/ch5/show";
}
@RequestMapping("/test")
publicStringtest() {
System.out.println(++i);
return"/lsh/ch5/test";
}
}改为多例的(就是在class上面加一个@Scope("request"))
从此可见,单例是不安全的,会导致属性重复使用。
最佳实践:
1、不要在controller中定义成员变量。
2、万一必须要定义一个非静态成员变量时候,则通过注解@Scope("prototype"),将其设置为多例模式。
三:讲一下sql优化,从架构层面和sql语句层面进行讲解?
- MySQL语句查询优化从sql语句方面有如下优化:
1:对查询进行优化,应尽量避免全表查询,首先应考虑在where及order by涉及的列上建立索引
2:应尽量避免在where子句中使用!=或<>操作符,否则将导致引擎放弃使用索引而进行全表扫描
3:应尽量避免在where子句中对字段进行null值判断,否则将导致引擎放弃使用索引而进行全表扫描,如:
select id from t where num is null
可以在num上设置默认值为0,确认表中num列没有null值,然后这样查询:
select id from t where num = 0
4:应尽量避免在where子句中使用or来连接条件,否则将导致引擎放弃使用索引而进行全表扫描,如:
select id from t where num =10 or num =20
可以这样查询
select id from t where num =10
union all
select id from t where num =20
5:应尽量避免在where子句中使用模糊查询,否则将导致引擎放弃使用索引而进行全表扫描,如:
select id from t where name like '%abc%'
如果要提高效率,可以考虑进行全文检索
6:in和not in也要慎用,否则将会导致引擎放弃使用索引而进行全表扫描,如:
select id from t where num in(1,2,3)
对于连续的数值能用between就不要用in了
select id from t where num between 1 and 3
7:如果在where子句中使用参数,也会导致全表扫描,因为sql只有在运行时才会解析局部变量,但优化程序不能将访问的计划选择推迟到运行时,它必须在编译时进行选择,然而果在编译时建立访问计划,变量的值还是未知的,因而无法作为索引选择的输入项。如下面语句将进行全表扫描:
select id from t where num = @num
可以改为强制查询使用索引
select id from t with(index(索引名)) where num = @num
8:应尽量避免在where子句中对字段进行表达式操作,这将导致引擎放弃使用索引而进行全表扫描,如:
select id from t where num/2 = 100
应改为
select id from t where num = 100*2
9.应尽量避免在where子句中对字段进行函数操作,这将导致引擎放弃使用索引而进行全表扫描。如:
select id from t where substring(name,1,3)='abc'--name以abc开头的id
select id from t where datediff(day,createdate,'2005-11-30')=0--'2005-11-30'生成的id
应改为:
select id from t where name like 'abc%'
select id from t where createdate>='2005-11-30' and createdate<'2005-12-1'
10.不要在 where 子句中的“=”左边进行函数、算术运算或其他表达式运算,否则系统将可能无法正确使用索引。
11.在使用索引字段作为条件时,如果该索引是复合索引,那么必须使用到该索引中的第一个字段作为条件时才能保证系统使用该索引,否则该索引将不会被使用,并且应尽可能的让字段顺序与索引顺序相一致。
12.不要写一些没有意义的查询,如需要生成一个空表结构:
select col1,col2 into #t from t where 1=0
这类代码不会返回任何结果集,但是会消耗系统资源的,应改成这样:
create table #t(...)
13.很多时候用 exists 代替 in 是一个好的选择:
select num from a where num in(select num from b)
用下面的语句替换:
select num from a where exists(select 1 from b where num=a.num)
14.并不是所有索引对查询都有效,SQL是根据表中数据来进行查询优化的,当索引列有大量数据重复时,SQL查询可能不会去利用索引,如一表中有字段sex,male、female几乎各一半,那么即使在sex上建了索引也对查询效率起不了作用。
15.索引并不是越多越好,索引固然可以提高相应的 select 的效率,但同时也降低了 insert 及 update 的效率,因为 insert 或 update 时有可能会重建索引,所以怎样建索引需要慎重考虑,视具体情况而定。一个表的索引数最好不要超过6个,若太多则应考虑一些不常使用到的列上建的索引是否有必要。
16.应尽可能的避免更新 clustered 索引数据列,因为 clustered 索引数据列的顺序就是表记录的物理存储顺序,一旦该列值改变将导致整个表记录的顺序的调整,会耗费相当大的资源。若应用系统需要频繁更新 clustered 索引数据列,那么需要考虑是否应将该索引建为 clustered 索引。
17.尽量使用数字型字段,若只含数值信息的字段尽量不要设计为字符型,这会降低查询和连接的性能,并会增加存储开销。这是因为引擎在处理查询和连接时会逐个比较字符串中每一个字符,而对于数字型而言只需要比较一次就够了。
18.尽可能的使用 varchar/nvarchar 代替 char/nchar ,因为首先变长字段存储空间小,可以节省存储空间,其次对于查询来说,在一个相对较小的字段内搜索效率显然要高些。
19.任何地方都不要使用 select * from t ,用具体的字段列表代替“*”,不要返回用不到的任何字段。
20.尽量使用表变量来代替临时表。如果表变量包含大量数据,请注意索引非常有限(只有主键索引)。
21.避免频繁创建和删除临时表,以减少系统表资源的消耗。
22.临时表并不是不可使用,适当地使用它们可以使某些例程更有效,例如,当需要重复引用大型表或常用表中的某个数据集时。但是,对于一次性事件,最好使用导出表。
23.在新建临时表时,如果一次性插入数据量很大,那么可以使用 select into 代替 create table,避免造成大量 log ,以提高速度;如果数据量不大,为了缓和系统表的资源,应先create table,然后insert。
24.如果使用到了临时表,在存储过程的最后务必将所有的临时表显式删除,先 truncate table ,然后 drop table ,这样可以避免系统表的较长时间锁定。
25.尽量避免使用游标,因为游标的效率较差,如果游标操作的数据超过1万行,那么就应该考虑改写。
26.使用基于游标的方法或临时表方法之前,应先寻找基于集的解决方案来解决问题,基于集的方法通常更有效。
27.与临时表一样,游标并不是不可使用。对小型数据集使用 FAST_FORWARD 游标通常要优于其他逐行处理方法,尤其是在必须引用几个表才能获得所需的数据时。在结果集中包括“合计”的例程通常要比使用游标执行的速度快。如果开发时间允许,基于游标的方法和基于集的方法都可以尝试一下,看哪一种方法的效果更好。
28.在所有的存储过程和触发器的开始处设置 SET NOCOUNT ON ,在结束时设置 SET NOCOUNT OFF 。无需在执行存储过程和触发器的每个语句后向客户端发送 DONE_IN_PROC 消息。
29.尽量避免向客户端返回大数据量,若数据量过大,应该考虑相应需求是否合理。
30.尽量避免大事务操作,提高系统并发能力。
- MySQL中的sql查询优化从整体架构上面的优化有:
1:添加redis缓存。
2:引入Mycat中间件,搭建集群,分为读表和写表。
3:从硬件上面说就是提高机器的性能,增加MySQL数据库的连接数。
四:讲一下你项目中用到的设计模式??
项目中运用的设计模式主要有这么几个:单例设计模式、亨元模式、代理模式、装饰者模式
下面将依次简单的说一下
1.单例设计模式
单例设计模式一般有几种实现形式,饿汉式,懒汉式,双重加锁式。
应用:数据库连接池。因为数据库连接池是一种数据库资源,使用数据库连接池的主要是为了节省打开或者关闭数据库连接所造成的效率损耗,这种效率上的损耗还是非常昂贵的,使用单例设计模式可以大大降低这种损耗。
多线程中线程池的设计一般也采用单例设计模式,这是由于线程池要方便对池中的线程进行控制。
网站中访问计数器,一般也是采用单例设计模式实现的,否则难以同步。
2.享元模式
由于做的是一个知识问答型的网站,发布一个问题之后,可以对其进行评论和转发。但实际在数据库中存储的该问题只有一个,有点类似于享元模式的思想。
应用:在一个系统中,如果有多个相同的对象,那么只共享一份就ok了。不必每个都去实例化一个对象,可以节省大量的内存空间。
在Java中,String类型的使用了享元模式,String对象是final类型的,对象一旦创建就不可以被改变。在Java中字符串常量都是存在常量池中的,Java会确保一个字符串常量在常量池中只有一个拷贝。
3.代理模式
应用:数据多机房同步,机房通过代理模式同步到其他机房,来避免机房宕机。
4.装饰者模式
动态地给一个对象添加一些额外的职责。
应用:Java IO的API是典型的应用。对扩展开放,对修改关闭。
什么是亨元模式??
亨元模式详解请参考博客:https://blog.csdn.net/justloveyou_/article/details/55045638
五:讲一下单例模式是否是线程安全,如何保证线程安全??
单例模式有饿汉式,懒汉式,双重加锁式
具体的详解可以参考我的博客:https://blog.csdn.net/qq_37469055/article/details/84261834
六:如何在linux系统上查看资源占用情况?
具体的查看Linux上面的资源占用情况的linux命令请参考博客,上面有详细的讲解:
https://www.cnblogs.com/chengJAVA/p/6115061.html
七:讲一下在项目中如何解决高并发的情况??
1、尽量使用缓存技术来做。用户缓存,页面缓存等一切缓存,使用特定的机制进行刷新。利用消耗内存空间来换取用户的效率,同时减少数据库的访问次数。
2、把数据库的查询语句进行优化,一般复杂的SQL语句就不要使用ORM框架自带的做法来写,采用自己来写SQL,例如hibernate的hql中的复杂语句就会很耗时。
3、优化数据库的表结构,在关键字、主键、访问率极高的字段中加入索引。但尽量只是在数字类型上面加,因为使用字段is null 的时候,索引的效果就会失效。
4、报表统计的模块,尽量使用定时任务执行,如果非要实时进行刷新,那么就可以采用缓存来做数据。
5、可以使用静态页面的地方,尽量使用静态页面,减少页面的解析时间。同时页面中的图片过多时,可以考虑把图片单独做成一个服务器,这样可以减少业务服务器的压力。
6、使用集群的方式来解决单台服务器的性能问题。
7、把项目拆分成多个应用小型服务器的形式来进行部署。采用数据同步机制(可以使用数据库同步形式来做)达到数据一致性。
8、使用负载均衡模式来让每一个服务器资源进行合理的利用。
9、缓存机制中,可以使用redis来做内存数据库缓存起来。也可以使用镜像分担,这样可以让两台服务器进行访问,提高服务器的访问量。
八:讲一下restful接口规范??
1:RESTful发展背景及介绍
网络应用程序,分为前端和后端两个部分。当前的发展趋势,就是前端设备层出不穷(手机、平板、桌面电脑、其他专用设备......)。因此,必须有一种统一的机制,方便不同的前端设备与后端进行通信。这导致API构架的流行,甚至出现"APIFirst"的设计思想。RESTful API是目前比较成熟的一套互联网应用程序的API设计理论。
REST(Representational State Transfer)表述性状态转换,REST指的是一组架构约束条件和原则。 如果一个架构符合REST的约束条件和原则,我们就称它为RESTful架构。REST本身并没有创造新的技术、组件或服务,而隐藏在RESTful背后的理念就是使用Web的现有特征和能力, 更好地使用现有Web标准中的一些准则和约束。虽然REST本身受Web技术的影响很深, 但是理论上REST架构风格并不是绑定在HTTP上,只不过目前HTTP是唯一与REST相关的实例。
2:RESTful设计风格
2.1、推荐风格
1)url格式:
http(s)://server.com/api-name/{version}/{domain}/{rest-convention}
这里,{version}代表api的版本信息,{domain}是一个你可以用来定义任何技术的区域(例如:安全-允许指定的用户可以访问这个区域。)或者业务上的区域(例如:同样的功能在同一个前缀之下。) {rest-convention}代表这个域{domain}下,约定的rest接口集合。
具体的详细介绍请查看博客:https://blog.csdn.net/zl1zl2zl3/article/details/73867113
九:讲一下什么时候在项目中使用消息中间件的作用?
消息中间件在项目中使用的主要作用有:
1:异步处理
用户注册(50ms),还需发送邮件(50ms)和短信(50ms)
串行:(150ms)用户注册—》发送邮件----》发送短信
并行(100ms):用户注册—》发送邮件
a) |----》发送短信
消息中间件(56ms):
用户注册(50ms)—》(6ms)消息中间件《-----发送邮件
《-----发送短信
说明:一个用户注册流程,包含下述业务:
1. 注册处理以及写数据库、
2. 发送注册成功的手机短信
3. 发送注册成功的邮件信息
我们使用老方法的话,则会注册完执行发送短信再执行邮件发送。太low
一般使用的是:在注册成功后,使用两个线程去做发送邮件,发送短信操作。
如果用消息中间件:则将两个线程创建这些事情省了,直接发送消息给消息中间件,然后让邮件服务和短信服务自己去消息中间件里面去取消息,然后取到消息后再自己做对应的业务操作。就是这么方便。
2:应用的解耦
a) 订单系统---》库存系统(强耦合)
b) 消息中间件:订单系统---》消息中间件《----库存系统(解耦)
说明:用户购买一笔订单,订单成交—》调用库存系统—1---》返回给订单系统,此时算一个正常业务。还有不正常的业务,就是用户订单完成后,订单系统并不去滴啊用库存系统-1操作,而是调用消息中间件,写入一个订单信息。又库存系统自己去消息中间件上去获取,然后更新库存,这样能够减少互联网型应用追求的快这一个属性。而库存系统读取订单间库存其实这个操作也是非常快的,所以有消息中间件对解耦来说也是一个不错的方向。
3:流量的削峰
三、流量的削峰
a) 用户请求-----》秒杀应用
b) 应用的前端加入消息队列
c) 用户请求-----》消息队列《----秒杀应用
说明:比如,系统举行秒杀活动,热门商品。流量蜂拥而至 100件商品,10万人挤进来怎么办,10万秒杀的操作,放入消息队列。秒杀应用处理消息队列中的10万个请求中的100个,其他的打回,通知失败。流量峰值控制在消息队列处,秒杀应用不会瞬间被怼死.
十:讲一下springboot和springcloud的区别??
1、Spring boot 是 Spring 的一套快速配置脚手架,可以基于spring boot 快速开发单个微服务;Spring Cloud是一个基于Spring Boot实现的云应用开发工具;
2、Spring boot专注于快速、方便集成的单个个体,Spring Cloud是关注全局的服务治理框架,为各个服务之间提供,配置管理、服务发现、断路器、路由、微代理、事件总线、全局锁、精选决策、分布式回话等集成服务;
3、spring boot使用了默认大于配置的理念,很多集成方案已经帮你选择好了,能不配置就不配置,Spring Cloud很大的一部分是基于Spring boot来实现。
4、Spring boot可以离开Spring Cloud独立使用开发项目,但是Spring Cloud离不开Spring boot,属于依赖的关系。
489
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
